跳到主要内容

关于企业管理用户

您可以从身份提供者(IdP)集中管理GitHub上企业成员的身份和访问。

关于企业管理用户

使用企业管理用户,您可以从外部身份管理系统(IdP)管理GitHub.com上用户的生命周期和身份验证。您可以向在您的IdP上拥有现有身份和组成员身份的人提供访问GitHub企业云的权限。您的IdP为新用户帐户提供了访问GitHub.com上企业的权限。您可以从IdP控制用户帐户的用户名、配置文件数据、团队成员资格和存储库访问权限。

在您的IdP上,您可以为每个托管用户帐户指定一个角色,例如成员、企业所有者或来宾协作者。托管用户帐户可以拥有企业内的组织,并可以向其中的组织和团队添加其他托管用户帐户。有关详细信息,请参阅“企业中的角色“和”关于组织."

当您的企业使用OIDC SSO时,当成员更改IP地址以及每次使用个人访问令牌或SSH密钥时,GitHub将自动使用IdP的条件访问策略(CAP)IP条件来验证用户与GitHup的交互。有关详细信息,请参阅“关于支持IdP的条件访问策略."

您可以授予托管用户帐户对企业内存储库的访问权限和贡献能力,但托管用户帐户无法在GitHub的其余部分创建公共内容或与其他用户、组织和企业协作。有关详细信息,请参阅“托管用户帐户的能力和限制."

企业的托管用户帐户的用户名及其配置文件信息(如显示名称和电子邮件地址)是通过您的IdP设置的,用户自己无法更改。有关详细信息,请参阅“用户名和配置文件信息."

企业所有者可以在GitHub上审核所有托管用户帐户的操作。有关详细信息,请参阅“企业的审核日志事件."

要使用企业管理用户,您需要启用企业管理用户的单独类型的企业帐户。有关创建此帐户的详细信息,请参阅“企业管理用户入门."

注:GitHub企业云有多种身份和访问管理选项,企业管理用户并不是每个客户的最佳解决方案。有关企业管理用户是否适合您的企业的更多信息,请参阅“确定适合您企业的最佳身份验证方法“和”托管用户帐户的能力和限制."

关于身份验证和用户配置

使用企业管理用户,您的IdP会在GitHub.com上创建和更新用户帐户。用户必须在IdP上进行身份验证,才能访问您在GitHub.com上的企业资源。GitHub企业云会在您的IdP上维护与用户帐户对应的外部身份记录。

GitHub与一些身份管理系统的开发人员合作,提供与企业管理用户的“铺设道路”集成。这些IdP主要使用SAML提供身份验证。Microsoft Entra ID(以前称为Azure AD)还提供OIDC进行身份验证。IdP应用程序为用户提供跨域身份管理系统(SCIM)。

合作伙伴IdPSAML公司OIDC公司SCIM公司
条目ID
奥克塔
PingFederate公司

其他IdP必须遵守SAML 2.0认证规范。您可以使用符合GitHub集成指南的IdP配置配置。IdP必须遵守SCIM 2.0规范,并与GitHub的REST API通信。例如,IdP可以是GitHub尚未测试的商业身份管理系统,也可以是您公司构建的自定义身份系统。

笔记:

  • 对使用GitHub的公共SCIM架构为用户提供的支持处于私有测试版,可能会发生更改。要请求访问测试版,请联系您的客户经理GitHub的销售团队.
  • 此操作允许您使用SCIM在GitHub企业云上为企业设置用户帐户。该操作仅可用于企业管理用户。如果您不使用企业管理用户,并且希望使用SCIM为您的组织提供访问权限,请参阅“SCIM的REST API端点."
  • GitHub建议您在与IdP和GitHub.com上的生产数据隔离的环境中测试供应。

有关身份验证和供应的更多信息,请参阅以下文章。

一些客户报告说,成功地将合作伙伴的IdP应用程序仅用于身份验证,并将不同的IdP用于资源调配。例如,用于身份验证的Okta和用于供应的自定义SCIM解决方案的组合,或用于身份验证和用于供应SailPoint的Keycoat的组合。GitHub没有测试所有IdP,也没有测试合作伙伴IdP与其他IdP的组合。

有关使用GitHub的SCIM架构的私有测试版从IdP配置用户的更多信息,请参阅“使用REST API为用户提供SCIM,”并咨询您的IdP文档、支持团队或其他资源。

在最初配置身份验证和资源调配后,GitHub不建议迁移到其他平台进行身份验证或资源调配。如果您需要将现有企业迁移到其他平台进行身份验证或资源调配,请联系您的客户经理GitHub的销售团队.

企业管理用户入门

在开发人员可以将GitHub企业云与企业托管用户一起使用之前,必须遵循一系列配置步骤。

  1. 要使用企业管理用户,您需要启用企业管理用户的单独类型的企业帐户。要试用企业管理用户或讨论从现有企业迁移的选项,请联系GitHub的销售团队.

    您在GitHub销售团队中的联系人将与您合作,创建具有托管用户的新企业。您需要提供设置企业的用户的电子邮件地址和一个简短的代码,该代码将用作企业成员用户名的后缀。短代码必须是企业独有的,由三到八个字符组成的字母数字字符串,并且不包含特殊字符。有关详细信息,请参阅“用户名和配置文件信息."

  2. 创建企业后,您将收到GitHub的一封电子邮件,邀请您为企业的安装用户选择密码,该用户将是企业的第一个所有者。为用户设置密码和保存恢复代码时,请使用隐姓埋名或私人浏览窗口。安装用户仅用于为企业配置单点登录和SCIM配置集成。配置SSO后,将不再允许访问企业或组织设置,除非使用SSO恢复代码。

    安装用户的用户名是您企业的短代码,后缀为_管理员例如fabrikam管理员。如果以后需要以安装用户身份登录,可以在任何登录页面输入用户名和密码。为了方便起见,SSO页面上还提供了登录页面的链接。

    如果需要重置安装用户的密码,请通过GitHub支持门户.

  3. 以安装用户身份登录后,我们建议启用双因素身份验证。设置用户的密码和双因素凭据也可以用于进入sudo模式,这是执行敏感操作所必需的。有关详细信息,请参阅“配置双因素身份验证“和”Sudo模式."

  4. 要开始,请配置成员的身份验证方式。如果使用Entra ID作为IdP,则可以在OpenID Connect(OIDC)和Security Assertion Markup Language(SAML)之间进行选择。我们建议使用OIDC,其中包括对条件访问策略(CAP)的支持。如果您需要多个企业从一个租户提供托管用户帐户,则必须在第一个企业之后对每个企业使用SAML。如果您正在使用另一个IdP,如Okta或PingFederate,则可以使用SAML对您的成员进行身份验证。

    要开始使用,请阅读所选身份验证方法的指南。

  5. 配置SSO后,可以配置SCIM配置。SCIM是您的IdP在GitHub.com上创建托管用户帐户的方式。有关配置SCIM设置的更多信息,请参阅“为企业管理用户配置SCIM配置."

  6. 配置身份验证和供应后,您可以通过将IdP组与团队同步来开始管理托管用户帐户的组织成员身份。有关详细信息,请参阅“使用身份提供程序组管理团队成员身份."

如果您的企业成员必须使用一个工作站从托管用户帐户和个人帐户向GitHub.com上的存储库进行贡献,您可以提供支持。有关详细信息,请参阅“在GitHub.com上支持具有多个用户帐户的开发人员."

关于组织成员资格管理

可以手动管理组织成员身份,也可以使用IdP组自动更新成员身份。要通过IdP管理组织成员身份,必须将成员添加到IdP组,并且IdP组必须连接到组织内的团队。有关自动管理组织和团队成员身份的详细信息,请参阅“使用身份提供程序组管理团队成员身份."

将成员添加到企业所属组织的方式(通过IdP组或手动)决定了必须如何从组织中删除成员。

  • 如果成员是手动添加到组织中的,则必须手动删除它们。从IdP上的GitHub企业管理用户应用程序中取消分配这些用户将挂起该用户,但不会将其从组织中删除。
  • 如果用户因为被添加到映射到组织中一个或多个团队的IdP组而成为组织的成员,则将其从全部的与组织关联的映射IdP组的个将从组织中删除它们。

要了解成员是如何添加到组织的,可以按类型筛选成员列表。有关详细信息,请参阅“查看企业中的人员."

使用托管用户帐户进行身份验证

托管用户帐户必须通过您的IdP进行身份验证。托管用户帐户的身份验证方式取决于您是配置SAML身份验证还是OIDC身份验证。

如果您的企业配置为SAML身份验证,则托管用户帐户可以通过访问其IdP应用程序门户来访问您的企业。如果您的企业配置了OIDC身份验证,则托管用户帐户可以使用GitHub.com上的登录页面访问您的企业。OIDC当前不支持IdP发起的身份验证。在这两种配置中,托管用户帐户都可以直接从GitHub.com上的组织或企业页面启动身份验证。

默认情况下,当未经身份验证的用户尝试访问使用企业管理用户的企业时,GitHub显示404错误。企业所有者可以选择启用自动重定向到单点登录(SSO),而不是404。有关详细信息,请参阅“在企业中强制实施安全设置策略."

如果SAML配置错误或身份提供程序(IdP)的问题阻止您使用SAML SSO,您可以使用恢复代码访问企业。有关详细信息,请参阅“管理企业的恢复代码."

通过GitHub.com作为托管用户帐户进行身份验证

  1. 引导到https://github.com/login.
  2. 在“用户名或电子邮件地址”文本框中,输入用户名,包括下划线和短代码。当表单识别出您的用户名时,表单将更新。您无需在此表单上输入密码。
  3. 要继续您的IdP,请单击使用您的身份提供商登录.

用户名和配置文件信息

GitHub企业云通过规范化IdP提供的标识符,自动为每个人创建用户名。有关详细信息,请参阅“外部身份验证的用户名注意事项."

托管用户帐户的配置文件名称和电子邮件地址由IdP提供。托管用户帐户无法更改其在GitHub上的配置文件名称或电子邮件地址,IdP只能提供一个电子邮件地址。如果您更改了IdP中与用户关联的电子邮件地址,这将使该用户与与其旧电子邮件地址关联的贡献历史断开链接。

如果在规范化过程中删除了IdP提供的标识符的唯一部分,则在配置用户时可能会发生冲突。如果由于用户名冲突而无法提供用户,则应修改IdP提供的用户名。有关详细信息,请参阅“外部身份验证的用户名注意事项."

注:由于GitHub在创建每个用户名时向IdP提供的规范化标识符添加了下划线和短代码,因此冲突只能在每个企业中与托管用户发生。托管用户帐户可以与企业外部GitHub.com上的其他用户帐户共享IdP标识符或电子邮件地址。

在GitHub.com上支持具有多个用户帐户的开发人员

您团队中的人员可能需要为GitHub.com上的资源做出贡献,这些资源位于您的企业外部,具有托管用户。例如,您可能希望为公司的开源项目维护一个单独的企业。由于托管用户帐户不能贡献公共资源,因此用户需要为这项工作维护一个单独的个人帐户。

必须使用一个工作站从GitHub.com上的两个用户帐户捐款的人可以配置Git以简化流程。有关详细信息,请参阅“管理多个帐户."

如果您的团队中有人需要定期在GitHub.com上的帐户之间切换,例如他们的个人帐户和一个或多个托管用户帐户,则可以登录到多个帐户并在它们之间快速切换,而无需始终重新验证。有关详细信息,请参阅“在帐户之间切换."